ניהול ידע הוא מיומנות חיונית כאשר מדובר באורקסטרציה של אבטחה, אוטומציה ותגובה (SOAR). קראו מדוע ניתוח אבטחה נכון, מניעה ותגובה תלויים באמנות התפעולית של שיתוף ידע, וכיצד האבטחה שלנו
כקצין סיכון וציות של Guru, אני משקיע זמן בניהול התקנים והבקרות שלנו (דברים בטחוניים שאנחנו צריכים לעשות), אבל אני גם מתבונן כיצד אוטומציה וניהול ידע יכולים לאפשר "אבטחה טקטית." התרגום בתעשייה עבור פרקטיקה זו הוא "אורקסטרציה של אבטחה, אוטומציה ותגובה" (SOAR), אבל כשלעצמה, אוטומציה לא תמיד מביאה לתוצאות מוצלחות.
לדוגמה, כאשר חנויות Target היו מפורסם שנפרצה בשנת 2013, ההתקפה הקיברנטית עבדה, במידה מסוימת, משום שעובדי האבטחה התעלמו מהתחנה של מכונה שהפכה להיות קבורה בשיחות של נתוני החיישנים שלהם. הפריצה בסופו של דבר עלה לחברה 300 מיליון דולר והיווה סיפור אזהרה מה יכול להשתבש כאשר יותר מדי קלטים גורמים לבלבול.
כמובן, לא כל התראה שהוחמצה מובילה לפריצה בגובה Target. מתקפות קטנות מתרחשות מדי יום. בעצם, לפי המדד רמות פריצה, יותר מארבעה אלפים רשומות רגישות נפגעות כל דקה. כדי להיות לפני תקריות אלו, ארגונים בדרך כלל מעסיקים "ערכת אבטחה" כדי להצביע על התנהגות יוצאת דופן או אפשריות חדירות לרשת שלהם. ערכת אבטחה זו מנוטרת על ידי צוות ליבה של עובדים או מרכז מבצעי אבטחה (SOC), ויותר ויותר הצוותים הללו מקבלים סיוע מיישומי SOAR כדי להפריד בין חומרים דיגיטליים ולהגיב למה שחשוב. ספקי SOAR חדשים מפוזרים בנוף, כאשר Gartner מדווחים על יותר מעשרה חברות נפרדות בתחום ה-SOAR.
ובכל זאת, יישומי SOAR החדשים והמבריקים הללו לא יוצרים וממלאים בסיס ידע בעצמם, מקום שבו אנליסטים יכולים למצוא מידע בר ביצוע וחוזר כדי להתמודד עם תקריות בסביבתם. פרקטיקה תפעולית זו מחייבת את אנשי ה-SOC להשתחרר ממלכודת הידע ולתעד הליכים מוחשיים לצוות הרחב יותר.
התשובה מגיעה דרך ניהול ידע טוב ישן, אשר אינו רק חובה נוספת במסגרת SOC העמוסה, אלא מיומנות חיונית. דוגמת מקרה, המסגרת כוח העבודה של אבטחת סייבר של NIST מפרטת את ניהול הידע כאחת מהמומחיות המרכזיות בין אנשי האבטחה. זה כולל מיומנות ביצירת תוכן, ניהול כלים שיתופיים והיכולת הכללית לע"זות, לתעד ולגשת להון אינטלקטואלי ולתוכן מידע."
מומחים בתעשייה מסכימים כי בסיס ידע הוא כוח מכפיל עצום בתוך ה-SOC. במאמרו "שיפור רמות IQ SOC באמצעות העברת ידע," מייק פאוור מדגיש את הדרישה הספציפית לאחסון תוכן שכולם יכולים לגשת אליו ולתחזק בקלות:
"יישום גישה אוטומטית באמצעות מסד נתונים מרכזי וספרי משחק מסודרים יבטיח כי תהליכי העבר של ידע יהיו ניתנים לחזרה, מגוננים ועקביים."
דוגמה אחת כיצד SOAR וספרי משחק מתמקדים זה עשויה להיות כאשר התראה מכונתית אומרת לאנשי האבטחה שכמות גדולה של נתונים עוזבת את הארגון, ממלאים את העלות לאתר לא ידוע. האנליסט או המגיב המוקדש פועל על ההתראה וחוסם את האתר מלקבל נתוני חברה נוספים, אבל זה רק הצעד הראשון במה שצריך להיות סדרה של פעולות אנושיות להבין את היקף התקרית ולהעריך את ההשפעה. ספר המשחק עשוי לומר, "חפש את כתובת השרת ודומיין אתר ההורדה," ואחריו, "חפש את לוגי הרשת ומצא כל הורדות קודמות לאותו שרת."
באמצעות ביצוע פעולות אלה, המגיב לתקריות מחבר בסופו של דבר את הפאזל של איך, מה, מתי ואיפה כך שההנהלה יכולה להיות מעודכנת ולהתקדם בהתאם (מה שבדרך כלל ידרוש ספר משחק נוסף).
מדוע ניהול ידע צריכה להיות חלק מאוסף האבטחה שלך
אף על פי שהכלים של SOAR של היום יכולים לעזור לזהות אינדיקטורים של איום ולבצע את זה עבור אנליסטים האנושיים, בדרך כלל מדובר בכך שהכלים שלא עצמם אינם מספיקים להגיב לתקריות ולעקוב אחרי פתרונן.
ניתוח אבטחה נכון, מניעה ותגובה עדיין תלוי באנשים ובאמנות התפעולית של שיתוף ידע.
אנשי האבטחה מיעוטים מדי וקשיים במחסור בזמן מדי כדי לאלתר את דרכם דרך כל תקרית חדשה. ספרי משחק נגישים, מעודכנים וכוח מוגן הם הבסיס לפעולה חכמה בסביבה שתמיד עשויה להיות תחת התקפה.
כקצין סיכון וציות של Guru, אני משקיע זמן בניהול התקנים והבקרות שלנו (דברים בטחוניים שאנחנו צריכים לעשות), אבל אני גם מתבונן כיצד אוטומציה וניהול ידע יכולים לאפשר "אבטחה טקטית." התרגום בתעשייה עבור פרקטיקה זו הוא "אורקסטרציה של אבטחה, אוטומציה ותגובה" (SOAR), אבל כשלעצמה, אוטומציה לא תמיד מביאה לתוצאות מוצלחות.
לדוגמה, כאשר חנויות Target היו מפורסם שנפרצה בשנת 2013, ההתקפה הקיברנטית עבדה, במידה מסוימת, משום שעובדי האבטחה התעלמו מהתחנה של מכונה שהפכה להיות קבורה בשיחות של נתוני החיישנים שלהם. הפריצה בסופו של דבר עלה לחברה 300 מיליון דולר והיווה סיפור אזהרה מה יכול להשתבש כאשר יותר מדי קלטים גורמים לבלבול.
כמובן, לא כל התראה שהוחמצה מובילה לפריצה בגובה Target. מתקפות קטנות מתרחשות מדי יום. בעצם, לפי המדד רמות פריצה, יותר מארבעה אלפים רשומות רגישות נפגעות כל דקה. כדי להיות לפני תקריות אלו, ארגונים בדרך כלל מעסיקים "ערכת אבטחה" כדי להצביע על התנהגות יוצאת דופן או אפשריות חדירות לרשת שלהם. ערכת אבטחה זו מנוטרת על ידי צוות ליבה של עובדים או מרכז מבצעי אבטחה (SOC), ויותר ויותר הצוותים הללו מקבלים סיוע מיישומי SOAR כדי להפריד בין חומרים דיגיטליים ולהגיב למה שחשוב. ספקי SOAR חדשים מפוזרים בנוף, כאשר Gartner מדווחים על יותר מעשרה חברות נפרדות בתחום ה-SOAR.
ובכל זאת, יישומי SOAR החדשים והמבריקים הללו לא יוצרים וממלאים בסיס ידע בעצמם, מקום שבו אנליסטים יכולים למצוא מידע בר ביצוע וחוזר כדי להתמודד עם תקריות בסביבתם. פרקטיקה תפעולית זו מחייבת את אנשי ה-SOC להשתחרר ממלכודת הידע ולתעד הליכים מוחשיים לצוות הרחב יותר.
התשובה מגיעה דרך ניהול ידע טוב ישן, אשר אינו רק חובה נוספת במסגרת SOC העמוסה, אלא מיומנות חיונית. דוגמת מקרה, המסגרת כוח העבודה של אבטחת סייבר של NIST מפרטת את ניהול הידע כאחת מהמומחיות המרכזיות בין אנשי האבטחה. זה כולל מיומנות ביצירת תוכן, ניהול כלים שיתופיים והיכולת הכללית לע"זות, לתעד ולגשת להון אינטלקטואלי ולתוכן מידע."
מומחים בתעשייה מסכימים כי בסיס ידע הוא כוח מכפיל עצום בתוך ה-SOC. במאמרו "שיפור רמות IQ SOC באמצעות העברת ידע," מייק פאוור מדגיש את הדרישה הספציפית לאחסון תוכן שכולם יכולים לגשת אליו ולתחזק בקלות:
"יישום גישה אוטומטית באמצעות מסד נתונים מרכזי וספרי משחק מסודרים יבטיח כי תהליכי העבר של ידע יהיו ניתנים לחזרה, מגוננים ועקביים."
דוגמה אחת כיצד SOAR וספרי משחק מתמקדים זה עשויה להיות כאשר התראה מכונתית אומרת לאנשי האבטחה שכמות גדולה של נתונים עוזבת את הארגון, ממלאים את העלות לאתר לא ידוע. האנליסט או המגיב המוקדש פועל על ההתראה וחוסם את האתר מלקבל נתוני חברה נוספים, אבל זה רק הצעד הראשון במה שצריך להיות סדרה של פעולות אנושיות להבין את היקף התקרית ולהעריך את ההשפעה. ספר המשחק עשוי לומר, "חפש את כתובת השרת ודומיין אתר ההורדה," ואחריו, "חפש את לוגי הרשת ומצא כל הורדות קודמות לאותו שרת."
באמצעות ביצוע פעולות אלה, המגיב לתקריות מחבר בסופו של דבר את הפאזל של איך, מה, מתי ואיפה כך שההנהלה יכולה להיות מעודכנת ולהתקדם בהתאם (מה שבדרך כלל ידרוש ספר משחק נוסף).
מדוע ניהול ידע צריכה להיות חלק מאוסף האבטחה שלך
אף על פי שהכלים של SOAR של היום יכולים לעזור לזהות אינדיקטורים של איום ולבצע את זה עבור אנליסטים האנושיים, בדרך כלל מדובר בכך שהכלים שלא עצמם אינם מספיקים להגיב לתקריות ולעקוב אחרי פתרונן.
ניתוח אבטחה נכון, מניעה ותגובה עדיין תלוי באנשים ובאמנות התפעולית של שיתוף ידע.
אנשי האבטחה מיעוטים מדי וקשיים במחסור בזמן מדי כדי לאלתר את דרכם דרך כל תקרית חדשה. ספרי משחק נגישים, מעודכנים וכוח מוגן הם הבסיס לפעולה חכמה בסביבה שתמיד עשויה להיות תחת התקפה.
